J 



Europaisches Patentamt 
European Patent Office 
Office europeen des brevets 




(fj) Numero de publication : 0 675 615 A1 



DEMANDE DE BREVET EUROPEEN 



(2j) Numero de depot : 95400664.9 
(22) Date de depot : 24.03.95 



@) int. ci. 6 : H04L 9/32, H04Q 7/32 



(g) Priorite : 29.03.94 FR 9403685 


(72) Inventeur : Nevoux, Rola 


(43) Date de publication de la demande : 
04.10.95 Bulletin 95/40 


1, rue de Montmorency 
F-78990 Elancourt (FR) 
Inventeur: Campana, Mireille 
7, Villa Jeanne d'Arc 


(S3) Etats contractants designes : 
DE GB 


F-92140 Clamart (FR) 


(74) Mandataire : Loisel, Bert rand et al 


(7j) Demandeur : FRANCE TELECOM 
6, Place d'Alleray 
F-75015 Paris (FR) 


Cabinet Plasseraud, 
84, rue d'Amsterdam 
F-75440 Paris Cedex 09 (FR) 



@ Procede d'authentification combinee d'un terminal de telecommunication et d'un module 
d'utilisateur dans un reseau de communication. 



(57) Le terminal (PA) et le module d'utilisateur 
(SIM) sont authentifies de facon combinee sur 
la base d'une cle d'authentification calculee 
d'une part par le terminal et d'autre part par le 
reseau. Une cle de session est d'abord calculee 
par le module d'utilisateur sur la base d'une cle 
secrete d'utilisateur (Ku), d'un parametre d'i- 
dentification du terminal (IMTI) et d'un premier 
nombre aleatoire. Le calcul de la cle d'authenti- 
fication par le terminal fait intervenir cette cle 
de session calculee par le module d'utilisateur, 
une cle secrete d'identification du terminal (D) 
et un second nombre aleatoire. Le reseau cal- 
cule de la meme maniere la cle de session et la 
cle d'authentification en retrouvant les cles 
secretes (Ku f D) sur la base des parametres 
d'identification (IMUIJMTI) transmis par le ter- 
minal. Les terminaux (PA) peuvent ensuite etre 
authentifies par le reseau independamment des 
modules d'utilisateurs (SIM) associes. 
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La presente invention concerne un procede pour 
controler I'acces a un reseau de telecommunications 
au moyen d'un terminal fonctionnant avec un module 
d'utilisateur. Elle trouve une application dans tout 
systeme de communication necessitant une authen- 
tication des terminaux. 

On connait, par exemple d'apres EP-A-0 552 
392, des procedures permettant d'authentifier mu- 
tuellementun module d'utilisateur etun terminal. Ces 
procedures permettenta I'utilisateurde. s'assurer de 
I'authenticite du terminal auquel il presente son mo- 
dule. En revanche, elles ne renseignent pas le reseau 
sur I'authenticite du terminal ou du module. 

Le reseau de communication a besoin de connaT- 
tre et de verifier I'identite des utilisateurs pour assu- 
rer un bon acheminement des communications et 
pour permettre la facturation. Le plus souvent, 
comme par exemple dans le cas du radiotelephone 
cellulaire europeen (GSM), chaque terminal estasso- 
cie a un utilisateur unique, et I'authentification des 
terminaux et des utilisateurs est confondue. 

Actuellement, le concept de mobilite personnelle 
se developpe, et on souhaite permettre aux termi- 
naux d'etre partages par plusieurs utilisateurs. Ceci 
implique une separation entre la gestion des utilisa- 
teurs et celle des terminaux. 

Dans le schema actuellement applique au reseau 
GSM, I'authentification porte uniquement sur les mo- 
dules d'utilisateur. Le terminal ne contient pas de don- 
nees de securite propres. Le retrait du module d'uti- 
lisateur implique I'absence des donnees d'authentif i- 
cation liees au terminal. Ce dernier devient alors 
amorphe et n'est plus joignable. Lorsqu'il se deplace, 
notamment lors d'une procedure de mise a jourde lo- 
calisation, c'est le module d'utilisateur (SIM) qui est 
authentifie (voir I'article "Une application de la carte 
a micro processeur : le module d'identite d'abonne du 
radiotelephone numerique europeen" de P. Jolie et al 
paru dans I'Echo des Recherches N° 139, 1er trimes- 
tre 1990, pages 13 a 20). De plus, si on envisage que 
le terminal puisse etre partage par plusieurs utilisa- 
teurs pour la reception des communications, il de- 
vient possible que plusieurs utilisateurs soient enre- 
gistres sur un meme terminal lors d'une mise a jour 
de localisation. II se peut que le terminal ne dispose 
pas physiquement d'un module d'utilisateur lors 
d'une mise a jour de localisation ; dans ce cas, 
I'authentification est impossible et la mise a jour de 
localisation echoue, etant observe que les terminaux 
doivent etre dans I'impossibilite d'utiliser des res- 
sources radio sans etre associes a des utilisateurs. 

Au vu de ce qui precede, un but principal de la 
presente invention est de fournir une procedure sou- 
pie pour I'authentification combinee d'un module 
d'utilisateur et d'un terminal. 

L'invention propose ainsi un procede pour contro- 
ler I'acces a un reseau de telecommunications au 
moyen d'un terminal fonctionnant avec un module 



d'utilisateur, dans lequel une cle de session est cal- 
culee, d'une part par le module d'utilisateur etd'autre 
part par le reseau, en fonction de donnees incluant 
une cle d'identif ication d'utilisateur stockee de facon 

5 secrete dans une memoire du module d'utilisateur et 
un premier nombre aleatoire fourni par le reseau, le 
reseau retrouvant la cle d'identif ication d'utilisateur 
sur la base d'un parametre d'identification d'utilisa- 
teur emis par le terminal, caracterise en ce que le ter- 

10 minal calcule une cle d'authentif ication en fonction de 
donnees incluant la cle de session calculee par le mo- 
dule d'utilisateur, une cle d'identification de terminal 
stockee de facon secrete dans une memoire du ter- 
minal et un second nombre aleatoire fourni par le re- 

15 seau, en ce que le reseau calcule de la meme maniere 
la cle d'authentif ication en fonction de donnees in- 
cluant la cle de session calculee par le reseau, la cle 
d'identification de terminal retrouvee par le reseau 
sur la base d'un parametre d'identification de termi- 

20 nal emis par le terminal et le second nombre aleatoire, 
et en ce qu'on autorise le terminal a acceder au re- 
seau en cas de concordance entre les cles d'authen- 
tif ication calculees par le terminal et par le reseau. 
La cle de session sert a controler les modules 

25 d'utilisateur, tandis que la cle d'authentification sert 
a controler de fagon combinee les modules d'utilisa- 
teur (via la cle de session) et les terminaux. Ce mode 
de controle d'acces offre une grande souplesse. En 
particulier, les terminaux et les utilisateurs peuvent 

30 etre geres par des entites differentes. Ainsi, lorsque 
le reseau com porte un systeme d'acces et une ou plu- 
sieurs unites de gestion des utilisateurs, les calculs 
de cle de session sont effectues au niveau de I'unite 
de gestion des utilisateurs (sous le controle du four- 

35 nisseur de service), tandis que les calculs de cle 
d'authentification sont effectues au niveau du syste- 
me d'acces (sous le controle de I'operateur de re- 
seau). 

De preference, le terminal memorise le parame- 
40 tre d'identification d'utilisateur et la cle de session 
calculee par le module d'utilisateur, et le reseau me- 
morise le parametre d'identification d'utilisateur et le 
parametre d'identification de terminal recus du termi- 
nal ainsi que la cle de session calculee par le reseau. 
45 De cette fagon, I'association physique du module 
d'utilisateur au terminal n'est plus indispensable lors- 
qu'une procedure d'authentification ulterieure est ef- 
fectuee, puisqu'il n'est plus necessaire de recalculer 
a chaque fois une cle de session. Cet avantage est 
so particulierement important pour les reseaux radiote- 
lephoniques cellulaires, pour lesquels des procedu- 
res d'authentification sont en general effectuees lors 
de chaque mise a jour de localisation d'une station 
mobile. 

55 Avec le procede selon l'invention, on peut envisa- 

gerd'"inscrire" plusieurs utilisateurs surun meme ter- 
minal. L'acces au reseau par le terminal peut etre au- 
torise pour chacun des modules d'utilisateur succes- 
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sivement presentes au terminal, sans evincer les uti- 
lisateurs precedents. On prevoitalors que le terminal 
memorise les parametres d'identif ication d'utilisateur 
relatifs a chacun des modules qui lui ont ete presen- 
tes successivement, et au moins une cle de session 
calculee pour Tun de ces modules, et que le reseau 
memorise les parametres d'identif ication d'utilisateur 
relatifs a chacun de ces modules, le parametre 
d'identif ication du terminal et au moins la cle de ses- 
sion calculee par le reseau relativement audit module. 

D'autres particulates etavantages de la presen- 
te invention apparaitront dans la description ci-apres 
d'un exemple de realisation prefere mais non limitatif, 
en reference aux dessins annexes, dans lesquels : 

- la figure 1 est un schema synoptique d'un re- 
seau de radiotelephonie cellulaire et d'une sta- 
tion mobile associee, pour la mise en oeuvre 
de I'invention ; et 

- les figures 2 et 3 sont des diagrammes illus- 
trant les etapes de procedures d'authentif ica- 
tion effectuees conformement au procede se- 
lon I'invention. 

L'invention est decrite ci-apres dans son applica- 
tion a un reseau cellulaire de radiotelephonie. L'hom- 
me du metier comprendra que le procede est aise- 
ment general isable a d'autres types de reseaux de te- 
lecommunications. La figure 1 illustre I'architecture 
bien connue du reseau radiotelephonique europeen 
GSM. Pour une description generale de ce reseau, on 
pourra se referer a I'article "Le systeme cellulaire nu- 
merique europeen de communication avec les mobi- 
les" de B. Ghillebaert et al paru dans I'Echo des Re- 
cherches N° 131, lertrimestre 1988, pages 5 a 16. 

Le reseau cellulaire comprend un systeme d'ac- 
ces SAA, et une ou plusieurs unites de gestion des 
utilisateurs HLR. Le systeme d'acces SAA est relie a 
un reseau telephonique filaire RTC pour permettre 
aux utilisateurs mobiles de communiquer avec des 
a bonnes du reseau filaire. Le systeme d'acces SAA 
comporte un certain nombre de stations de base BS 
reparties sur le territoire couvert, qui assurent Inter- 
face radio avec les stations mobiles. Chaque station 
de base BS est commandee par un controleurde sta- 
tions de base BSC relie a un centre de commutation 
du service mobile MSC. 

Pour la gestion des utilisateurs, I'unite de ges- 
tion, ou enregistreur de localisation nominal HLR 
comporte une base de donnees 10 ou sont stockees 
les informations necessaires a la gestion des commu- 
nications d'un certain nombre d'abonnes mobiles. La 
base de donnees 10 est associee a des circuits de 
traitement 11 qui assurent les calculs et les echanges 
de donnees servant a la gestion des communica- 
tions. Le systeme d'acces SAA comprend en outre 
des enregistreurs de localisation des visiteurs VLR 
associes chacun a un ou plusieurs centres de 
commutation MSC. Un VLR comprend une base de 
donnees 12 contenant une copie des enregistre- 



ments des HLR pour tous les abonnes mobiles qui se 
trouvent dans les cellules dependant du ou des cen- 
tres de commutation MSC en question, et des circuits 
de traitement associes 13. 

5 Une station mobile apte a communiquer avec le 

reseau cellulaire comprend un terminal PAassocie a 
un module d'utilisateur SIM. Le module SIM se pre- 
sente soit sous la forme d'une carte a memoire, soit 
sous la forme d'un composant enfichable dans lequel 

10 sont stockees diverses donnees propres a I'utilisa- 
teur, parmi lesquelles son parametre d'identif ication 
IMUI et sa cle secrete d'identif ication d'utilisateur Ku. 
La cle d'identif ication Ku est stockee dans une zone 
protegee de la memoire 15 du module SIM. Elle est 

15 egalement stockee dans la base de donnees 10 du 
HLR de rattachement de I'utilisateur, en correspon- 
dance avec le parametre d'identif ication IMUI. La cle 
Ku n'est jamais transmise entre deux composants 
fonctionnels intervenant dans une communication 

20 pour des raisons de securite. La gestion des parame- 
tres IMUI et des cles secretes Ku est done assuree 
par I'operateur du reseau qui a la responsabilite du 
HLR et qui delivre les modules d'utilisateur SIM. La 
memoire 15 du module SIM est associee a des cir- 

25 cuits de traitement 16 qui effectuent des calculs et 
assurent des echanges de donnees avec le terminal 
PA. 

Pour la mise en oeuvre du procede selon I'inven- 
tion, le terminal PA comporte egalement une memoire 

30 1 7 dans laquelle sont stockees des donnees propres 
au terminal, parmi lesquelles le parametre d'identif i- 
cation du terminal IMTI et la cle secrete d'identifica- 
tion du terminal D. La memoire 1 7 est associee a des 
circuits de traitement 18 qui effectuent certains cal- 

35 culs intervenant dans la procedure d'authentif ication, 
et qui assurent des echanges de donnees d'une part 
avec le module SIM et d'autre part avec le systeme 
d'acces SAA. On peut prevoir que les cles secretes 
D soient liees aux parametres d'identif ication IMTI 

40 correspondants par une fonction secrete connue uni- 
quement de I'operateur du reseau, qui fait inscrire la 
cle D=f(IMTI) dans une zone protegee de la memoire 
1 7 de chaque terminal. Le reseau (VLR) est alors ca- 
pable de retrouver la cle D relative a un terminal sur 

45 la base de son parametre d'identif ication IMTI. Lors- 
qu'il est fait appel a une telle fonction secrete f, le re- 
seau n'a pas besoin de disposer d'une base de don- 
nees nominale de tous les terminaux disponibles ni 
de determiner le reseau d'origine de chaque terminal. 

so Le mode de communication entre les compo- 

sants d'une station mobile et du reseau cellulaire est 
classique et ne sera pas detaille davantage ici. On 
pourra a cet egard se reporter a I'article de B. GHIL- 
LEBAERT et al. cite precedemment. Seul le procede 

55 de controle d'acces concerne par la presente inven- 
tion sera decrit ci-apres, en reference aux figures 2 
et 3. 

Le procede de controle d'acces met en jeu deux 
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fonctions cryptograph iques distinctes AG et AT. La 
premiere fonction AG est appliquee au niveau des 
modules SIM et des unites de gestion HLR pour cal- 
culer des cles de session Ks. L'algorithme de la fonc- 
tion AG est done stocke a la fois dans les modules 5 
SIM (dans une zone protegee de la memoire 15) et 
dans les HLR. La fonction AG n'est pas necessaire- 
ment identique pour tous les fournisseurs de service 
gerant des HLR. Dans le mode de realisation decrit, 
la fonction AG a trois arguments : (i) la cle secrete 10 
d'identification Ku de I'utilisateur concerne, (ii) le pa- 
rametre d'identification IMTI du terminal concerne, et 
(iii) un nombre aleatoire R1 fourni par le reseau. La 
fonction AG peut bien entendu comporter d'autres ar- 
guments (par exemple le parametre d'identification 15 
IMUI de I'utilisateur concerne), si on souhaite obtenir 
davantage de diversite dans les cles de session Ks. 

La deuxieme fonction cryptographique AT est ap- 
pliquee pour calculer des cles d'authentification 
SRES d'une part au niveau des terminaux PA, et d'au- 20 
tre part au niveau du systeme d'acces SAA, plus pre- 
cisement au niveau de I'enregistreur de localisation 
des visiteurs VLR concerne. L'algorithme de la fonc- 
tion AT est done stocke a la fois dans les terminaux 
(dans une zone protegee de la memoire 17) et dans 25 
les VLR. Dans le mode de realisation decrit, la fonc- 
tion AT a trois arguments : (i) la cle de session Ks cal- 
culee au moyen de la premiere fonction AG, (ii) la cle 
secrete d'identification D du terminal concerne, et(iii) 
un second nombre aleatoire R2 fourni par le reseau. 30 
Bien entendu, la fonction AT peut comporter d'autres 
arguments (par exemple le parametre d'identification 
IMTI du terminal concerne), si on souhaite obtenir da- 
vantage de diversite dans les cles d'authentification 
SRES. 35 

Une procedure d 'inscription etd'autorisation d'un 
utilisateur sur un terminal PA est illustree sur la figure 
2. Lorsque I'utilisateur presente son module SIM au 
terminal (ou a la mise sous tension du terminal phy- 
siquement associe au module SIM), le module SIM 40 
transmetau terminal PAle parametre d'identification 
d'utilisateur IMUI stocke dans sa memoire 15. Le ter- 
minal emet alors une requete d'inscription incluant le 
parametre IMUI qu'il vientde recevoirdu module SIM 
et son propre parametre d'identification IMTI stocke 45 
dans sa memoire 17. Le systeme d'acces SAA ache- 
mine la requete d'inscription jusqu'au VLR concerne. 
Le VLR genere alors deux nombres aleatoires R1 , R2 
et les transmet au terminal PA par Tin termed iaire du 
systeme d'acces. Le VLR informe egalement le HLR so 
concerne de la requete d'inscription, et lui transmet 
les parametres d'identification IMUI, IMTI et le pre- 
mier nombre aleatoire R1 . 

Le terminal PA communique alors au module SIM 
son parametre d'identification IMTI et le premier 55 
nombre aleatoire R1 . Le module SIM calcule la cle de 
session Ks = AG(Ku,IMTI,R1), et la transmet au ter- 
minal PA. Le terminal calcule la cle d'authentification 



SRES en fonction de la cle de session Ks qu'il vient 
de recevoir du module SIM, de sa cle secrete d'iden- 
tification D, et du second nombre aleatoire R2 : 
SRES = AT(Ks,D,R2). Cette cle d'authentification 
SRES est adressee par le terminal au VLR par I'inter- 
mediaire du systeme d'acces. 

Sur la base du parametre d'identification d'utili- 
sateur IMUI qu'il a recu du VLR, le HLR retrouve dans 
sa base de donnees 10 la cle secrete Ku associee a 
ce parametre IMUI. II calcule alors la cle secrete Ks 
= AG(Ku,IMTI,R1 ), et la transmet au VLR. Sur la base 
du parametre d'identification de terminal IMTI qu'il a 
regu du terminal PA, le VLR retrouve la cle secrete as- 
sociee D = f(IMTI). II calcule alors la cle d'authentifi- 
cation SRES en fonction de la cle de session Ks qu'il 
a recue du HLR, de la cle d'identification de terminal 
D qu'il a retrouvee, et du second nombre aleatoire 
R2 : SRES = AT(Ks,D,R2). Le VLR compare ensuite 
la cle d'autentification SRES qu'il a calculee lui-me- 
me a celle qu'il a recue du terminal PA, pour determi- 
ner si le terminal doit etre autorise a acceder au re- 
seau. En cas de concordance entre les cles d'authen- 
tification, I'autorisation est don nee au terminal PAqui 
memorise alors le parametre d'identification de I'uti- 
lisateur IMUI et la cle de session Ks qu'il a regue du 
module SIM. De son cote, le VLR memorise les para- 
metres d'identification IMUI et IMTI, ainsi que la cle 
de session Ks qu'il a regue du HLR, puis il alloue a la 
session IMUI/IMTI un numero de reacheminement 
MSRN qu'il communique au HLR. Le HLR peut alors 
memoriser les donnees relatives a I'utilisateur identi- 
fie par le parametre IMUI, a savoir le parametre 
d'identification du terminal IMTI, la cle de session Ks 
calculee par le HLR, et le numero de reacheminement 
MSRN alloue parle VLR. 

L'authentif ication porte done a la fois sur le mo- 
dule d'utilisateur (a travers la cle de session Ks) etsur 
le terminal. 

Une fois que la procedure d'inscription et 
d'authentification illustree sur la figure 2 est termi- 
nee, I'utilisateur peut retirer son module SIM tout en 
restant inscrit sur le terminal PA. En cas d'appel ex- 
terieur destine a cet utilisateur, le HLR est interroge 
et retrouve le VLR concerne sur la base du numero 
de reacheminement MSRN associe a cet utilisateur 
IMUI. Le VLR peut alors determiner la station de base 
BS avec laquelle peut communiquer le terminal PA 
sur lequel est inscrit I'utilisateur. La communication 
peut etre etablie sans qu'une nouvelle cle de session 
Ks soit calculee, e'est-a-dire sans que I'utilisateur ait 
besoin de reintroduce son module SIM. Dans le cas 
d'un appel emanantde I'utilisateur mobile, on prevoit 
de preference que celui-ci doive reintroduce son mo- 
dule SIM et que la procedure d'inscription etd'autori- 
sation illustree sur la figure 2 soit renouvelee. 

Apres I'inscription et I'autorisation de I'utilisateur 
IMUI et le retrait du module SIM de cet utilisateur, il 
est possible d'inscrire sur le meme terminal un autre 
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utilisateur IMUI'. La procedure appliquee est essen- 
tiellement la meme que celle illustree sur la figure 2. 
Une nouvelle cle de session Ks' et une nouvelle cle 
d'authentif ication SRES' sont calculees, et I'authen- 
tif ication est effectuee sur la base de la cle d'authen- 5 
tif ication SRES'. Lorsque I'autorisation est effective, 
le terminal PA memorise les deux parametres d'iden- 
tification d'utilisateur IMUI, IMUI' et la cle de session 
Ks', et le VLR memorise les deux parametres d'iden- 
tification d'utilisateur IMUI, IMUI', le parametre 10 
d'identification du terminal IMTI, et la cle de session 
Ks'. La nouvelle cle de session Ks' est done partagee 
entre les differents utilisateurs IMUI, IMUI' inscrits 
sur le terminal PA. II estegalement possible de garder 
en memoire les deux cles de session Ks et Ks', cha- 15 
que utilisateur IMUI, IMUI' gardant alors sa propre cle 
de session. La procedure ci-dessous est applicable 
de la meme facon pour I'inscription d'un nombre quel- 
conque d'utilisateurs sur le meme terminal. 

La procedure d'authentification ulterieure appli- 20 
cable a I'initiative du reseau ou lors d'une mise a jour 
de localisation du terminal est illustree sur la figure 3. 
Lorsque le terminal PA a determine qu'il doit changer 
de zone de localisation, il transmet au VLR concerne 
une requete d'autorisation incluant le parametre 25 
d'identification de I'utilisateur inscrit IMUI, et le para- 
metre d'identification du terminal IMTI. Le VLR re- 
cherche alors dans sa base de donnees 12 s'il a 
stocke une cle de session Ks en relation avec les pa- 
rametres IMUI et IMTI. 30 

Si le VLR ne trouve aucune cle de session en re- 
lation avec IMUI et IMTI, on est dans le cas d'une mise 
a jour de local isation avec cha ngement de VLR de rat- 
tachement. Sur la base du parametre d'identification 
d'utilisateur IMUI, le VLR est en mesure de determi- 35 
ner le HLR gerant les communications de I'utilisateur. 
II transmet a ce HLR les parametres IMUI et IMTI. Le 
HLR concerne retrouve alors dans sa base de don- 
nees 10 la cle de session Ks associee a I'utilisateur 
IMUI etau terminal IMTI, et transmet cette cle deses- 40 
sion Ksau VLR. Le VLR genere alors un nombre alea- 
toire R2 qu'il transmet au terminal PA par I'interme- 
diaire du systeme d'acces. Le terminal PAcalcule une 
cle d'authentification SRES en fonction de la cle de 
session Ks qu'il a precedemment memorisee, de sa 45 
cle secrete d'identification D et du nombre aleatoire 
R2 qu'il vient de recevoir du VLR : SRES = 
AT(Ks,D,R2). Cette cle d'authentification SRES est 
transmise par le terminal PAau VLR. De son cote, le 
VLR retrouve la cle secrete d'identification du termi- so 
nal D sur la base du parametre IMTI qu'il a recu. II cal- 
cule alors la cle d'authentification SRES en fonction 
de la cle de session Ks qu'il a recue du HLR, de la cle 
D qu'il vient de retrouver, et du nombre aleatoire R2 : 
SRES = AT (Ks,D,R2). Le VLR compare la cle 55 
d'authentification SRES qu'il vient de calculer a celle 
qu'il a regue du terminal PAet, en cas de concordan- 
ce, il donne I'autorisation de communiquer au termi- 



nal PA. Lorsque I'autorisation est effective, le VLR 
memorise les parametres d'identification IMUI, IMTI, 
et la cle de session Ks qu'il a recue du HLR, puis il 
alloue un nouveau numero de reacheminement 
MSRN a I'utilisateur. Ce numero de reacheminement 
est transmis au HLR qui le memorise en relation avec 
les parametres d'identification IMUI, IMTI et la cle de 
session Ks. Le HLR informe f inalement I'ancien VLR, 
dans lequel I'utilisateur etait precedemment inscrit, 
qu'il peut ef facer ses enregistrements relatifs a I'uti- 
lisateur IMUI et au terminal IMTI. 

Dans le cas ou le VLR trouve initialement une cle 
de session Ks associee au parametre d'identification 
IMUI, IMTI, on est dans le cas d'une mise ajourde lo- 
calisation sans changement de VLR. La procedure 
d'authentification appliquee est alors la meme que 
celle illustree sur la figure 3, sauf que les etapes re- 
presentees entourees par des traits interrompus 
n'ont pas besoin d'etre effectuees. Dans ce cas, au- 
cun echange de donnees entre le VLR et le HLR n'est 
necessaire. 

Les procedures d'authentification ulterieures il- 
lustrees sur la figure 3 sont applicables de facon sem- 
blable lorsque plusieurs utilisateurs IMUI, IMUI',... 
sont simultanement inscrits sur le meme terminal PA. 

Apres I'inscription d'un ou plusieurs utilisateurs, 
le terminal peut done etre authentif ie de facon auto- 
nome, independamment du ou des modules SIM as- 
socies (le module SIM n'est pas implique dans le dia- 
gramme de la figure 3). Cet avantage est particulie- 
rement important pour les reseaux de radiocommuni- 
cation necessitant d'authentifier les terminaux lors 
de mises a jour de localisation. 

On observera que le procede decrit ci-dessus a 
titre d'exemple peut etre amenage pour tenir compte 
des contraintes propres a chaque type de reseau. Par 
exemple, on peut prevoir que les parametres d'iden- 
tification des utilisateurs etdes terminaux IMUI, IMTI, 
qui n'ont pas le meme degre de confidentiality que les 
cles secretes Ku, D, ne soient pas transmis en clair 
sur I' interface radio entre les stations de base et les 
stations mobiles, cet interface etant accessible a 
tous. On peut notammenttransmettre les parametres 
d'identification sous une forme codee dependant de 
la zone de localisation de la station mobile. Un exem- 
ple bien connu d'un tel mode de codage est applique 
dans le cas du GSM pour definir les identites tempo- 
raires d'abonne mobile (TMSI) des utilisateurs (voir 
Recommandations GSM N° 02.09, 02.17, 03.20 et 
03.21). 

On peut encore prevoir que les nombres aleatoi- 
res R1 intervenantdans le calcul des cles de session 
soient generes par les HLR et non par les VLR. En 
particulier, lorsque le VLR transmet une requete 
d'inscription au HLR avec les parametres IMUI et 
IMTI (figure 2), le HLR peut generer plusieurs nom- 
bres aleatoires R1 1f ...,R1 n et calculer les cles de ses- 
sions correspondantes Ks 1t ...,Ks n . II transmet alors 
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plusieurs couples (R1j,KSj) au VLR qui selectionne 
I'un d'entre eux pour le calcul de la cle d'authentifi- 
cation SRES. Lorsque la procedure d'inscription et 
d'autorisation est ulterieurement renouvelee (a I'ini- 
tiative du reseau ou en cas d'appel emanant de la sta- 
tion mobile), le VLR peut utiliser un autre couple 
(R1i,KSj) sans avoir a s'adresser de nouveau au HLR. 
Cette disposition, appliquee de facon comparable 
dans le systeme GSM actuel, red u it avantageuse- 
ment le nombre des echanges entre le VLR et le HLR. 



Revendications 

1 . Procede pour controler I'acces a un reseau de te- 
lecommunications au moyen d'un terminal fonc- 
tionnant avec un module d'utilisateur (SIM), dans 
lequel une cle de session (Ks) est calculee, d'une 
part par le module d'utilisateur et d'autre part par 
le reseau, en fonction de donnees incluant une 
cle d'identification d'utilisateur (Ku) stockee de 
facon secrete dans une memoire du module d'uti- 
lisateur et un premier nombre aleatoire (R1) four- 
ni parle reseau, le reseau retrouvantla cle d'iden- 
tification d'utilisateur (Ku) sur la base d'un para- 
metre d'identification d'utilisateur (IMUI) emis 
par le terminal, caracterise en ce que le terminal 
calcule une cle d'authentification (SRES) en 
fonction de donnees incluant la cle de session 
(Ks) calculee par le module d'utilisateur, une cle 
d'identification de terminal (D) stockee de facon 
secrete dans une memoire du terminal et un se- 
cond nombre aleatoire (R2) fourni par le reseau, 
en ce que le reseau calcule de la meme maniere 
la cle d'authentification (SRES) en fonction de 
donnees incluant la cle de session (Ks) calculee 
par le reseau, la cle d'identification de terminal 
(D) retrouvee par le reseau sur la base d'un pa- 
rametre d'identification de terminal (IMTI) emis 
par le terminal et le second nombre aleatoire 
(R2), et en ce qu'on autorise le terminal a acceder 
au reseau en cas de concordance entre les cles 
d'authentification (SRES) calculees parle termi- 
nal et par le reseau. 

2. Procede selon la revendication 1 , caracterise en 
ce que, le reseau comportant un systeme d'acces 
(SAA) et au moins une unite de gestion des utili- 
sateurs (HLR), les calculsde cles de session (Ks) 
par le reseau sont effectues au niveau de I'unite 
de gestion des utilisateurs, tandis que les calculs 
de cles d'authentification (SRES) par le reseau 
sont effectues au niveau du systeme d'acces. 

3. Procede selon Tune quelconque des revendica- 
tions precedentes, caracterise en ce que les don- 
nees en fonction desquelles est calculee la cle de 
session (Ks) incluent en outre le parametre 



d'identification du terminal (IMTI). 

4. Procede selon Tune quelconque des revendica- 
tions precedentes, caracterise en ce que le termi- 

5 nal memorise le parametre d'identification d'uti- 

lisateur (IMUI) et la cle de session (Ks) calculee 
par le module d'utilisateur, et en ce que le reseau 
memorise le parametre d'identification d'utilisa- 
teur (IMUI) et le parametre d'identification de ter- 

10 minal (IMTI) recus du terminal ainsi que la cle de 

session (Ks) calculee par le reseau. 

5. Procede selon Tune quelconque des revendica- 
tions precedentes, caracterise en ce que lorsque 

15 plusieurs modules d'utilisateur (SIM) ont ete pre- 

sentes success ivement au terminal (PA), et que 
I'acces au reseau par le terminal a ete autorise 
pour chacun de ces modules d'utilisateurs, le ter- 
minal memorise les parametres d'identification 

20 d'utilisateur (IMUI, IMUI') relatifs a chacun deces 

modules et au moins une cle de session (Ks') cal- 
culee par I'un de ces modules, et le reseau me- 
morise les parametres d'identification d'utilisa- 
teur (IMUI, IMUI') relatifs a chacun de ces modu- 

25 les, le parametre d'identification du terminal 

(IMTI) et au moins la cle de session (Ks') calculee 
par le reseau relativement audit module. 

6. Procede selon la revendication 4 ou 5, caracteri- 
30 se par une procedure d'authentification ulterieu- 

re incluant les etapes suivantes : 

- le terminal (PA) adresse au reseau son pa- 
rametre d'identification (IMTI) et le ou les 
parametres d'identification d'utilisateur 

35 (IMUI) qu'il memorise ; 

- le reseau adresse au terminal un nombre 
aleatoire (R2) ; 

- le terminal calcule une cle d'authentifica- 
tion (SRES) en fonction de donnees in- 

40 cluant la cle de session (Ks) qu'il a memo- 

risee, sa cle d'identification (D) et le nom- 
bre aleatoire (R2) qu'il vient de recevoir du 
reseau ; et le terminal adresse cette cle 
d'authentification (SRES) au reseau ; 

45 - le reseau calcule de la meme maniere la cle 

d'authentification (SRES) en fonction de 
donnees incluant la cle de session (Ks) qu'il 
a memorisee en relation avec les parame- 
tres d'identification (IMTI, IMUI) regus du 

so terminal, la cle d'identification de terminal 

(D) retrouvee sur la base du parametre 
d'identification du terminal (IMTI) et le nom- 
bre aleatoire (R2) ; et 

- le reseau compare la cle d'authentification 
55 qu'il a regue du terminal a celle qu'il a cal- 
culee pour autoriser le terminal a acceder 
au reseau en cas de concordance. 
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